System nazw domenowych (DNS) tłumaczy nazwy domen zrozumiałe dla ludzi, na przykład google.com, na czytelne dla komputera adresy IP konkretnych witryn, np. 172.217.3.206. Aby zapobiec zagrożeniom dla Twojej domeny, takim jak zatruwanie pamięci podręcznej czy podszywanie się pod serwer DNS, skonfiguruj rozszerzenia zabezpieczeń DNS (DNSSEC).
Włączanie DNSSEC w domenie
Ważne:
- Niektóre domeny najwyższego poziomu (TLD) zamiast rekordów podpisujących delegację (DS) akceptują rekordy klucza publicznego DNS (DNSKEY).
- Jeśli nazwa domeny została kupiona w Google Domains, może to oznaczać, że usługi DNSSEC zostały już skonfigurowane.
- Jeśli w Twojej domenie jest rekord ALIAS, nie możesz włączyć DNSSEC. Więcej informacji o rekordach ALIAS
Aby skonfigurować DNSSEC w domenie, musisz dodać określone rekordy zasobów do strefy DNS lub strefy podpisywania i opublikować je dla domeny. Jeśli korzystasz z automatycznej konfiguracji DNSSEC w Google Domains, obie te czynności wykonujemy za Ciebie. Aby zabezpieczenia DNSSEC stały się aktywne, wprowadzone zmiany muszą zostać rozpowszechnione w internecie, co może potrwać do 24 godzin.
- Zaloguj się w Google Domains.
- Wybierz swoją domenę.
- W lewym górnym rogu kliknij Menu DNS.
- Wybierz Domyślne serwery nazw lub Niestandardowe serwery nazw.
- Przewiń do karty lub pola „DNSSEC”.
- W przypadku domyślnych serwerów nazw: kliknij Włącz. Jeśli usługa DNSSEC jest już włączona, wyświetli się komunikat „Włączono DNSSEC”.
- W przypadku niestandardowych serwerów nazw: kliknij Zarządzaj rekordami DS i wpisz informacje od dostawcy DNS.
- Wpisz wartości podane przez zewnętrznego dostawcę DNS w sekcji DNSSEC lub DNSKEY niestandardowego serwera nazw.
- Aby dodać wiele rekordów naraz, kliknij Utwórz nowy rekord.
- Kliknij Zapisz.
Wskazówki:
- Jeśli nie chcesz czekać na opublikowanie rekordów DNSKEY, w sekcji „DNSSEC” rozwiń kartę DNSSEC i kliknij Opublikuj rekordy teraz.
- Gdy włączysz DNSSEC, Google Domains natychmiast podpisuje Twoją strefę DNS, a w ciągu 2 godzin publikuje rekordy podpisujące delegację (DS).
Jeśli korzystasz z niestandardowych serwerów nazw, musisz podpisać strefę DNS dla swojej domeny z pomocą zewnętrznego dostawcy DNS. Dla każdego DNSKEY pobierz od swojego dostawcy DNS te wartości:
- Tag klucza: wartość liczbowa odnosząca się do istniejącego rekordu DNSKEY.
- Algorytm: algorytm szyfrowania, za pomocą którego utworzono klucz zabezpieczeń w rekordzie DNSKEY. Zazwyczaj jest sparowany z funkcją skrótu, np. RSA/SHA1.
- Typ skrótu: algorytm, który tworzy skrót rekordu DNSKEY. Nazywa się go też algorytmem skrótu lub funkcją skrótu.
- Skrót: zaszyfrowana wartość rekordu DNSKEY, która jednoznacznie identyfikuje go i nie ujawnia wartości klucza. W zależności od typu skrótu długość może być taka:
- SHA1: 40 cyfr szesnastkowych
- SHA256: 64 cyfry szesnastkowe
- SHA384: 96 cyfr szesnastkowych
Jeżeli używasz niestandardowych serwerów nazw, poproś zewnętrznego dostawcę DNS o informacje umożliwiające zalogowanie się Twojej domeny w strefach DNS. Dla każdego DNSKEY pobierz od swojego dostawcy DNS te wartości:
- Flagi: informacje, dzięki którym DNS i resolvery wiedzą, jak interpretować rekord DNSKEY. Domyślnie jest to wartość 256 lub 257.
- Protokół: wskazuje używaną wersję DNSSEC. Ta wartość zawsze wynosi 3.
- Algorytm: wskazuje typ algorytmu kryptograficznego stosowanego w parze klucz publiczny/prywatny.
- Klucz publiczny: klucz używany przez resolvery DNS do weryfikowania, czy rekordy DNS nie zostały zmienione.
Jak wyłączyć DNSSEC w swojej domenie
- Zaloguj się w Google Domains.
- Wybierz swoją domenę.
- Kliknij Menu DNS.
- Przewiń do karty lub pola „DNSSEC”.
- W przypadku domyślnych serwerów nazw: wybierz Wyłącz.
- W przypadku niestandardowych serwerów nazw: obok każdego rekordu kliknij Usuń .
- Kliknij Zapisz.
Wskazówki:
- Aby w przypadku niestandardowych serwerów nazw usunąć rekordy zasobów związane z DNSSEC ze swojej strefy, skontaktuj się ze swoim dostawcą DNS.
- Jeśli wyłączysz DNSSEC, Google Domains natychmiast cofnie publikację rekordów DS Twojej domeny. Gdy ta zmiana zostanie rozpowszechniona w internecie, Twoja domena nie będzie już chroniona przez DNSSEC. Może to zająć maksymalnie 48 godzin. Aby zakończyć wyłączanie DNSSEC, Google Domains może cofnąć podpisanie Twojej strefy DNS.
Korzystanie z dynamicznego DNS
Ważne: dynamiczny DNS działa z adresami IPv4 i IPv6, ale nie jednocześnie.
Dynamiczny DNS umożliwia skierowanie domeny lub subdomeny na zasób, który znajduje się za bramą i ma dynamicznie przypisywany adres IP. Aby używać dynamicznego DNS, musisz używać domyślnych serwerów nazw Google Domains.
Gdy skonfigurujesz dynamiczny DNS w Google Domains, możesz:
- utworzyć rekord A lub AAAA dla domeny albo subdomeny, dzięki czemu serwery nazw Google będą spodziewać się dynamicznego adresu IP;
- wygenerować nazwę użytkownika i hasło używane przez hosta lub serwer przy przekazywaniu nowego adresu IP do serwerów nazw Google.
Po skonfigurowaniu dynamicznego DNS musisz skonfigurować na hoście, serwerze lub bramie program klienta, który:
- wykrywa zmiany adresu IP,
- używa wygenerowanej nazwy użytkownika i hasła,
- przekazuje nowy adres IP do serwerów nazw Google.
Konfigurowanie dynamicznego DNS
- Zaloguj się w Google Domains na komputerze.
- Wybierz swoją domenę.
- Kliknij Menu DNS.
- Wybierz Domyślne serwery nazw Google Domains (Aktywny).
- Jeśli wybrana jest opcja „Niestandardowe serwery nazw (Aktywny)”, masz już niestandardowe serwery nazw i nie możesz korzystać z dynamicznego DNS Google Domains.
- Kliknij Pokaż ustawienia zaawansowane.
- Kliknij Zarządzaj dynamicznym DNS-em Utwórz nowy rekord.
- Aby przypisać dynamiczny adres IP, wpisz nazwę subdomeny lub domeny głównej.
- Kliknij Zapisz.
Oto kilka innych opcji zarządzania dynamicznym DNS-em:
- Aby wyświetlić wartości rekordów: kliknij trójkąt obok rekordu.
- Aby wyświetlić nazwę użytkownika i hasło utworzone dla rekordu: kliknij Wyświetl dane logowania.
- Aby skonfigurować bramę lub oprogramowanie klienta tak, aby kontaktowało się z serwerami nazw Google: użyj nazwy użytkownika i hasła utworzonego dla rekordu.
- Aby usunąć rekord:
- Otwórz stronę „Rekordy zasobów”.
- Kliknij trójkąt obok pozycji „Dynamiczny DNS”.
- Kliknij Usuń.
Konfigurowanie programu klienta na bramie, hoście lub serwerze
W użyciu jest kilka popularnych klientów dynamicznego DNS, na przykład DDclient i INADYN. Większość routerów może wykrywać zmiany adresów IP i przekazywać je do serwerów nazw za pomocą wbudowanego oprogramowania.
Skonfiguruj klienta dynamicznego DNS w ten sposób:
- Dostawca, DNS lub usługa: nazwa dostawcy DNS
- Nazwa użytkownika lub dane logowania: wygenerowana nazwa użytkownika w rekordzie Dynamiczny DNS
- Hasło lub dane logowania: wygenerowane hasło w rekordzie Dynamiczny DNS
Po utworzeniu rekordu i skonfigurowaniu oprogramowania klienta przetestuj rekord. Wpisz subdomenę i domenę w przeglądarce lub odpowiednim kliencie i sprawdź, czy łączą się z właściwym zasobem.
Wskazówka: Google Domains używa protokołu dyndns2.
Przykłady
Program DDclient obsługuje już Google Domains.
Program DDclient z obsługą Google Domains |
Wpisy w pliku ddclient.conf:
|
Ogólne przykłady konfiguracji klienta:
Program DDclient bez obsługi Google Domains |
INADYN |
Przykładowe wpisy w pliku ddclient.conf:
|
Dodaj następujące wpisy do pliku inadyn.conf
|
Aktualizowanie rekordu Dynamiczny DNS przez interfejs API
domains.google.com/nic/update
https://nazwa_użytkownika:hasło@domains.google.com/nic/update?hostname=subdomena.domena.com&myip=1.2.3.4
Konfigurowanie klienta użytkownika
Ważne: w żądaniu musisz także ustawić agenta użytkownika.
Podczas testu z adresem URL podanym powyżej (domains.google.com/nic/update
) przeglądarki zwykle dodają klienta użytkownika. Ostateczne zapytanie HTTP wysłane do naszych serwerów powinno być podobne do tego:
Przykład zapytania HTTP:
POST /nic/update?hostname=subdomena.twojadomena.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 adres_email@twojadomena.com
Parametry żądania:
Parametr | Wymagany czy opcjonalny | Opis |
username:password |
Wymagany | Wygenerowana nazwa użytkownika i hasło powiązane z hostem, który ma zostać zaktualizowany. |
hostname |
Wymagany | Nazwa hosta, który ma zostać zaktualizowany. |
myip |
|
Adres IP, na który ustawiony jest host. Jeśli nie zostanie podany, używamy adresu IP agenta, który wysłał żądanie.
Ważne: jeśli agent używa adresu IPv6, wymagany jest parametr |
offline |
Opcjonalny | Ustawia bieżący host w stan offline. Jeśli żądanie aktualizacji jest wykonywane na hoście w stanie offline, host ten wychodzi ze stanu offline. Dozwolone wartości to:
|
Po przetworzeniu żądania wyświetli się 1 z odpowiedzi wymienionych poniżej.
Uwaga: upewnij się, że odpowiedź została poprawnie zinterpretowana. W przeciwnym razie istnieje ryzyko, że Twój klient będzie miał zablokowany dostęp do naszego systemu.
Odpowiedź | Stan | Opis |
good {adres IP użytkownika} |
Sukces | Aktualizacja zakończyła się powodzeniem. Nie podejmuj próby kolejnej aktualizacji, dopóki nie zmieni się adres IP. |
nochg {adres IP użytkownika} |
Sukces | Podany adres IP jest już ustawiony dla tego hosta. Nie podejmuj próby kolejnej aktualizacji, dopóki nie zmieni się adres IP. |
nohost |
Błąd | Nazwa hosta nie istnieje lub nie ma włączonego dynamicznego DNS. |
badauth |
Błąd | Kombinacja nazwy użytkownika i hasła jest niepoprawna dla podanego hosta. |
notfqdn |
Błąd | Podana nazwa hosta nie jest poprawną pełną nazwą domeny. |
badagent |
Błąd | Klient dynamicznego DNS wysyła błędne żądania. Sprawdź, czy w żądaniu ustawiono agenta użytkownika. |
abuse |
Błąd | Dostęp do dynamicznego DNS dla danej nazwy hosta został zablokowany z powodu niepoprawnej interpretacji wcześniejszych odpowiedzi. |
911 |
Błąd | Wystąpił błąd po naszej stronie. Zaczekaj 5 minut i spróbuj jeszcze raz. |
conflict A |
Błąd | Niestandardowy rekord zasobu A lub AAAA powoduje konflikty z aktualizacją. Usuń wskazany rekord zasobu na stronie ustawień DNS i spróbuj jeszcze raz przeprowadzić aktualizację. |